Pouvez-vous définir la politique de même origine pour qu'elle soit plus stricte?

Question

Je suis dans une situation où les utilisateurs peuvent définir CSS pour des zones spécifiques du site qu'ils gèrent. Ils sont capables d'insérer des ressources distantes dans ce document, puis de consigner les demandes d'adresses IP adressées à ces ressources par les utilisateurs invités visitant leurs pages.

À défaut d'ajouter un système de purification qui filtre les URL distantes, y a-t-il un moyen d'indiquer au client de ne pas faire ANY demandes étrangères? Mon site est 100% autonome à l'origine et ne fait aucune demande de CDN étranger. Je le veux essentiellement pour que toute demande étrangère soit bloquée.

Answer 1

Content Security Policy peut limiter les ressources pouvant être incluses dans le site.

Par exemple, cela limiterait la page pour charger des scripts seulement à partir de son propre domaine et de domaine Google

Content-Security-Policy: script-src 'self' https://apis.google.com 

Plus d'options, y compris pour les styles de chargement

• style-src est l'homologue de script src pour les feuilles de style.
• connect-src limite les origines auxquelles vous pouvez vous connecter (via XHR, WebSockets et EventSource)
• frame-src Utiliser l'enfant src à la place.
• img-src définit les origines à partir desquelles les images peuvent être chargées.
• media-src limite les origines autorisées à fournir la vidéo et l'audio.